本書是一本關于Web應用安全的實用教材����,旨在幫助讀者深入了解Web應用安全的核心概念和方法,以便有效地發(fā)現(xiàn)和防范Web應用漏洞和風險����。
本書分為四篇���,共22章��,先介紹Web安全環(huán)境的搭建����,再詳細講解各種Web安全工具���,包括輕量級代碼編輯器���、瀏覽器代理插件、Burp Suite工具和木馬連接工具���,接著剖析多種Web應用安全漏洞及其常見的漏洞利用方式����,最后基于兩個真實的Web應用安全漏洞挖掘?qū)崙?zhàn)項目,幫助讀者鞏固對Web應用安全漏洞的理解���,并拓展讀者的Web應用安全測試的思路���。本書以任務的形式呈現(xiàn),易于理解和操作����。通過閱讀本書,讀者能夠全面了解Web應用安全�����,提升網(wǎng)絡安全技能�。
本書適合作為高等院校網(wǎng)絡空間安全、信息安全和網(wǎng)絡工程等相關專業(yè)的教材��,也適合作為網(wǎng)絡安全從業(yè)人員和研究人員的參考書�����。
1. 清晰易懂:每章都以項目描述為起點,幫助讀者充分理解技能點和任務��。
2. 強調(diào)實踐性:每個知識點均以任務的形式進行講解��,方便讀者理解并動手操作���。
3. 激發(fā)學習動力:每個任務末尾均提供了拓展提高內(nèi)容��,激發(fā)讀者學習動力��。
4. 提供習題答案:內(nèi)容來源真實教學實踐,可供高等院校教師選作教材�。
5. 出自名家之手:本書出自網(wǎng)絡安全一線大廠安全攻防經(jīng)驗,具備實戰(zhàn)性��。
喬治錫�,現(xiàn)任四川信息職業(yè)技術學院網(wǎng)通學院院長。具有10余年網(wǎng)絡技術及網(wǎng)絡安全技術工作經(jīng)歷���,主持或參與多項精品在線課程建設����。
馮軍軍��,現(xiàn)任四川信息職業(yè)技術學院教師。曾參與省級精品課程和國家資源庫建設��。擅長滲透測試和Web安全��,活躍于多個漏洞報告平臺���,報告過多個CNVD漏洞�����。持有CISP-PTE證書�����,曾獲第二屆全國工業(yè)和信息化技能技術大賽工業(yè)互聯(lián)網(wǎng)安全賽項職工組三等獎�。
黃章清��,杭州安恒信息技術股份有限公司資深安全培訓工程師���。長期專注于追蹤與研究新的網(wǎng)絡安全威脅�����、攻擊技術以及防御策略���,曾在國家����、省���、市級別的網(wǎng)絡安全演習和模擬攻擊活動中擔任裁判����、紅隊選手及研判分析師����。將個人的一線實戰(zhàn)技能和經(jīng)驗提煉總結(jié),制作Web應用安全��、滲透測試技術����、Python安全開發(fā)等課程����。
藍大朝,現(xiàn)任安恒信息網(wǎng)絡安全培訓工程師,擅長講授網(wǎng)絡攻防技術���、應急響應��、安全加固等方面的課程�����。曾參與過多個網(wǎng)絡安全項目���,具備扎實的理論基礎和實踐能力。
王澤儒��,現(xiàn)任四川信息職業(yè)技術學院專任教師���。長期從事信息安全方面的工作���,積累了4年多的黑灰對抗經(jīng)驗。
尹禛�����,現(xiàn)任四川信息職業(yè)技術學院信息安全專業(yè)教師����。長期從事信息安全產(chǎn)品研發(fā)和信息安全專業(yè)教學等工作����,負責網(wǎng)絡攻防對抗�����、異常事件監(jiān)測預警等項目�,主講Web安全、計算機取證技術等多門課程��。持有國家統(tǒng)一法律職業(yè)資格證書(A證)�。
第 一篇 Web安全環(huán)境搭建
第 1章 VMware的安裝 3
1.1 工作任務 4
1.2 歸納總結(jié) 5
1.3 提高拓展 6
1.4 練習實訓 6
第 2章 基礎鏡像的安裝 7
2.1 工作任務 7
2.2 歸納總結(jié) 13
2.3 提高拓展 13
2.4 練習實訓 14
第3章 測試環(huán)境的搭建 15
3.1 工作任務 15
3.2 歸納總結(jié) 19
3.3 提高拓展 19
3.4 練習實訓 20
第二篇 Web安全工具使用
第4章 輕量級代碼編輯器的使用 23
4.1 任務一:Sublime Text編輯器的使用 23
4.2 任務二:Visual Studio Code編輯器的使用 27
第5章 瀏覽器代理插件的使用 34
5.1 任務一:HackBar插件的使用 34
5.2 任務二:SwitchyOmega插件的使用 38
第6章 Burp Suite工具的使用 42
6.1 任務一:Proxy模塊的使用 42
6.2 任務二:Intruder模塊的使用 47
6.3 任務三:Repeater模塊的使用 54
第7章 木馬連接工具的使用 60
7.1 任務一:蟻劍工具的使用 60
7.2 任務二:Behinder工具的使用 66
第三篇 Web應用安全漏洞剖析
第8章 身份認證攻擊漏洞 73
8.1 任務一:基礎登錄漏洞利用 73
8.2 任務二:登錄重放漏洞利用 77
8.3 任務三:Basic認證漏洞利用 80
8.4 任務四:AES認證攻擊利用 86
第9章 跨站腳本攻擊漏洞 93
9.1 任務一:反射型XSS漏洞利用 93
9.2 任務二:DOM型XSS漏洞利用 105
9.3 任務三:存儲型XSS漏洞利用 108
9.4 任務四:BlueLotus_XSS工具的使用 111
第 10章 跨站請求偽造漏洞 116
10.1 任務一:GET型CSRF漏洞利用 116
10.2 任務二:POST型CSRF漏洞利用 120
10.3 任務三:CSRF漏洞繞過 125
第 11章 文件上傳漏洞 131
11.1 任務一:基礎文件上傳漏洞利用 131
11.2 任務二:文件上傳前端JS檢測繞過 135
11.3 任務三:文件上傳MIME類型檢測繞過 139
11.4 任務四:文件上傳黑名單檢測繞過 143
11.5 任務五:文件上傳特殊文件繞過 146
11.6 任務六:文件上傳大小寫繞過 150
11.7 任務七:文件上傳Windows特殊符號繞過 152
11.8 任務八:文件上傳雙寫繞過 160
11.9 任務九:文件上傳截斷繞過 163
11.10 任務十:文件上傳圖片木馬繞過 168
11.11 任務十一:文件上傳二次渲染繞過 174
11.12 任務十二:文件上傳條件競爭繞過 178
第 12章 文件包含漏洞 184
12.1 任務一:本地文件包含漏洞利用 184
12.2 任務二:遠程文件包含漏洞利用 193
12.3 任務三:文件包含漏洞繞過 197
第 13章 文件下載漏洞 202
13.1 任務一:文件下載漏洞利用 202
13.2 任務二:文件下載漏洞繞過 205
第 14章 SQL注入漏洞 211
14.1 任務一:萬能密碼登錄 211
14.2 任務二:聯(lián)合查詢注入利用 213
14.3 任務三:報錯注入利用 219
14.4 任務四:布爾盲注利用 222
14.5 任務五:時間盲注利用 229
14.6 任務六:利用sqlmap工具獲取數(shù)據(jù)庫數(shù)據(jù) 231
14.7 任務七:SQL注入漏洞繞過 235
第 15章 代碼執(zhí)行漏洞 242
15.1 任務一:基礎代碼執(zhí)行漏洞利用 242
15.2 任務二:create_function漏洞利用 246
15.3 任務三:代碼執(zhí)行漏洞繞過 248
第 16章 命令執(zhí)行漏洞 252
16.1 任務一:基礎命令執(zhí)行漏洞利用 252
16.2 任務二:命令執(zhí)行漏洞繞過 258
第 17章 PHP反序列化漏洞 261
17.1 任務一:PHP反序列化漏洞利用 261
17.2 任務二:Phar反序列化漏洞利用 271
17.3 任務三:Session反序列化漏洞利用 275
第 18章 服務器端請求偽造漏洞 279
18.1 任務一:SSRF漏洞利用 279
18.2 任務二:SSRF漏洞攻擊內(nèi)網(wǎng)Redis服務 292
第 19章 XML外部實體注入漏洞 296
19.1 任務一:基礎XXE漏洞利用 296
19.2 任務二:無回顯XXE漏洞利用 299
第 20章 邏輯漏洞 305
20.1 任務一:數(shù)據(jù)篡改漏洞挖掘 305
20.2 任務二:重放攻擊漏洞挖掘 308
20.3 任務三:越權漏洞挖掘 311
第四篇 漏洞挖掘?qū)崙?zhàn)
第 21章 YXcms v1.4.7漏洞挖掘?qū)崙?zhàn) 319
21.1 工作任務 320
21.2 歸納總結(jié) 329
21.3 提高拓展 330
21.4 練習實訓 332
第 22章 FeiFeiCms v3.3.1漏洞挖掘?qū)崙?zhàn) 333
22.1 工作任務 333
22.2 歸納總結(jié) 340
22.3 提高拓展 340
22.4 練習實訓 342
書單推薦
